Tiểu luận môn mạng máy tính và bảo mật FIREWALL

Khái niệm: Bức tường lửa firewall là một kỹ thuật được tích hợp vào hệ thống mạng để: ● Chống lại sự truy cập trái phép từ bên ngoài External network ­ Internet vào trong mạng Internal n

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này

NỘI DUNG TRÌNH BÀY

1. Khái niệm:

2. Tại sao lại dùng tường lửa?

3. Phân loại:

4. Cấu trúc ­ Cách thức hoạt động

5. Thiết lập

6. Các phương pháp vượt tường lửa (dùng để vào một số trang bị chặn)

NỘI DUNG:

1. Khái niệm:

Bức tường lửa (firewall) là một kỹ thuật được tích hợp vào hệ thống mạng để:

● Chống lại sự truy cập trái phép từ bên ngoài (External network ­ Internet) vào trong mạng (Internal network ­ Intranet) và ngược lại

● Bảo vệ thông tin nội bộ cũng như hạn chế sự xâm nhập không mong muốn vào hệ thống mạng nội bộ

2. Tại sao lại dùng tường lửa?

Nếu máy tính không được bảo vệ, khi kết nối Internet, tất cả các hoạt động ra vào mạng đều được cho phép, vì thế hacker, virus có thể truy cập và lấy cắp thông tin cá nhân trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính. Hoặc sử dụng máy tính đã tấn công để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ

thống của bạn

Chức năng chính của Firewall.

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:

­ Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). 

­ Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). 

­ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. 

­ Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. 

­ Kiểm soát người sử dụng và việc truy nhập của người sử dụng. 

­ Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng. 

3. Phân loại:

Có thể phân loại: Firewall cứng và firewall mềm

Firewall cứng: Là những firewall được tích hợp trên Router.

Đặc điểm của Firewall cứng:

­ Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)

­ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)

­ Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ Firewall cứng: NAT (Network Address Translate)

Firewall mềm: Là những Firewall được cài đặt trên Server.

Đặc điểm của Firewall mềm:

­ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

­ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

­ Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Firewall mềm phụ thuộc vào hệ điều hành

Ví dụ: sunScreen firewall, IPF, Microsoft ISA server, Check Point NG, … Firewall mềm có thể đảm nhận vai trò như một DNS server hay một DHCP server

Các công ty lớn thường sử dụng cả 2 loại "mềm" và "cứng" tùy theo để lọc ở trong hay ở ngoài

4. Cấu trúc:

FireWall bao gồm :

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router. Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)

Các thành phần của FireWall 

Một FireWall bao gồm một hay nhiều thành phần sau :

+ Bộ lọc packet (packet­ filtering router)

+ Cổng ứng dụng (Application­level gateway hay proxy server)

+ Cổng mạch (Circuite level gateway)

Bộ lọc paket (Paket filtering router)

Nguyên lý hoạt động

Firewall lọc gói hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của TCP/IP. Chúng thường là một phần của router. Router là thiết bị nhận gói từ một mạng và chuyển gói tới mạng khác. Trong firewall lọc gói, mỗi gói được so sánh với tập các tiêu chuẩn trước khi nó được chuyển tiếp. Dựa vào gói và tiêu chuẩn, firewall có thể hủy gói, chuyển tiếp hoặc gởi thông điệp tới nơi tạo gói. Các luật bao gồm địa chỉ IP, số cổng nguồn và đích và giao thức

sử dụng. Hầu hết các router đều hỗ trợ lọc gói

Tất cả các luồng lưu thông trên Internet đều ở dạng gói. Một gói là một lượng dữ liệu có kích thước giới hạn, đủ nhỏ để điều khiển dễ. Khi lượng lớn dữ liệu được gửi liên tục, dễ xảy ra tình trạng hỏng trong việc truyền và tái hợp ở nơi nhận

Một gói là một chuỗi số cơ bản truyền đạt các thứ sau:

• Dữ liệu, kiến thức, yêu cầu hoặc dòng lệnh từ hệ thống bắt đầu

• Địa chỉ IP và cổng của nguồn

• Thông tin về giao thức (tập các luật) điều khiển gói

• Thông tin kiểm tra lỗi

• Có vài sự sắp xếp thông tin về kiểu và tình trạng của dữ liệu đang được gửi

• Và còn vài thứ khác…

Trong packet filtering, chỉ protocol và thông tin địa chỉ của mỗi gói được kiểm tra. Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của nó bị bỏ qua

Filtering chứa các gói vào ra và cho phép hoặc không cho phép việc lưu thông của chúng hoặc chấp nhận dựa trên một tập luật nào đó, được gọi là chính sách (policies)

Các chính sách lọc gói có thể căn cứ trên các điều sau:

• Cho phép hoặc không cho phép gói dựa vào địa chỉ IP nguồn

• Cho phép hoặc không cho phép gói dựa vào cổng đích

• Cho phép hoặc không cho phép gói dựa theo giao thức

Bộ định tuyến kiểm tra nhìn vào thông tin liên quan đến địa chỉ cứng (hardwired) của máy tính, địa chỉ IP của nó (lớp mạng) và loại kết nối (lớp transport), và sau đó lọc các gói

dữ liệu dựa trên những thông tin này. Bộ định tuyến kiểm tra có thể là thiết bị định tuyến độc lập hoặc máy tính gắn hai card mạng. Bộ định tuyến nối giữa hai mạng và thực hiện lọc gói dữ liệu để điều khiển luồng lưu thông giữa các mạng. Người quản trị lập trình cho thiết

bị với các luật xác định cách lọc gói dữ liệu. Ví dụ, bạn có thể thường xuyên ngăn các gói của một dịch vụ nào đó như FTP (File Transfer Protocol) hay HTTP (HyperText Transfer Protocol). Tuy vậy, các luật bạn xác định cho bộ định tuyến có thể không đủ để bảo vệ tài nguyên trên mạng. Những luật này có thể rất khó cài đặt và dễ có lỗi, tạo nên những lỗ hỏng trong hệ thống phòng thủ

Đây là kiểu cơ bản nhất của firewall

Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của

phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

Hạn chế

● Việc định nghĩa các chế độlọc package là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

● Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nôi dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

Các Proxy Server Gateway

Gateway là các thiết bị mức ứng dụng, cung cấp nhiều cơ hội hơn để theo dõi và điều khiển truy cập mạng. Một fireware gateway hoạt động như người trung gian, chuyển tiếp các thông điệp giữa khách/dịch vụ nội và ngoại

Dịch vụ ủy thác (proxy service) có thể “biểu diễn” người dùng nội trên internet bằng

cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống nội và bảo đảm rằng những người dùng nội không kết nối trực tiếp với hệ thống bên ngoài. Proxy server có thể đánh giá và lọc tất cả các gói dữ liệu đến hoặc ngăn các gói dữ liệu đi ra

Một số proxy server được thiết kế để cho phép chỉ những người dùng nội truy cập

internet và không cho phép bất cứ người dùng ngoại nào trong mạng. Vì mọi yêu cầu đến internet server đều tạo ra phản hồi, proxy server phải cho phép luồng giao thông quay về, nhưng nó thực hiện điều này bằng cách chỉ cho phép luồng lưu thông là một phản hồi nào đó của người dùng nội. Các loại proxy server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả hai chiều

Proxy server còn có thể cung cấp dịch vụ cache cho người dùng nội. Nó lưu trữ thông tin về các nơi (site) để người dùng truy cập nhanh hơn. Khi người dùng truy cập đến những nơi này, thông tin được lấy từ vùng cache đã lưu trữ trước đó

Có hai loại proxy server: mức bản mạch và mức ứng dụng

Cổng vòng (circuit­Level Gateway)

Đây là một bước phát triển kế tiếp của tường lửa, Circuit Gateway không chỉ xử lí dữ       

liệu phần đầu mỗi gói mà còn đảm bảo kết nối chuyển tiếp tới gói (packet) hợp lệ Để làm       

điều này, Circuit Gateway để ý tới gói dữ liệu, tìm kiếm những sự thay đổi như địa chỉ IP       

nguồn hoặc cổng đến (port) bất thường Nếu kết nối được xác định không hợp lệ, nó sẽ       

được đóng lại Loại tường lửa này cũng có thể tự động từ chối những thông tin cụ thể do       

người dùng bên trong nó gửi yêu cầu Circuit Level Gateway (CLG) hoạt động ở lớp session của mô hình OSI, hoặc lớp TCP của mô hình TCP/IP. Chúng giám sát việc bắt tay TCP (TCP handshaking) giữa các gói để xác định rằng một phiên yêu cầu là phù hợp. Thông tin tới máy tính từ xa thông qua một CLG, làm cho máy tính ở xa đó nghĩ là thông tin đến từ gateway. Điều này che dấu được thông tin về mạng được bảo vệ. CLG thường có chi phí thấp và che dấu được thông tin về mạng mà nó bảo vệ. Ngược lại, chúng không lọc các gói Firewall không chỉ cho phép (allow) hoặc không cho phép (disallow) gói mà còn xác định kết nối giữa hai đầu cuối có hợp lệ theo các luật hay không, sau đó mở một session (phiên làm việc) và cho phép luồng lưu thông và có sự giới hạn thời gian Ưu điểm: ● Chống lại kẻ đột nhập bằng truy cập từ xa ● Ngăn chặn thông tin từ bên ngoài (Internet) vào trong mạng được bảo vệ, trong khi       

● Ghi nhận mọi cuộc trao đổi thông tin, điểm xuất phát và đích, thời gian, … theo dõi       

các cuộc tấn công với ý đồ xấu từ bên ngoài nhằm dự báo khả năng bị tấn công trước khi       

cuộc tấn công xảy ra Nhược điểm: ● Không thể đọc hiểu thông tin và phân tích tốt xấu của nó ● Không thể ngăn chặn được những tấn công mà không đi qua cổng của nó. Vd: không thể ngăn tấn công từ dial – up, rò rỉ thông tinh do dữ liệu sao chép bất hợp pháp lên đĩa mềm ● Không quét virus. Do tốc độ làm việc, sự xuất hiện liên tục của virus và cách mã hoá dữ liệu, thoát khỏi sự kiểm soát của Firewall Cổng ứng dụng (application­level getway) Nguyên lý hoạt động Cổng ứng dụng được thiết kế để tăng cường kiểm soát dịch vụ, giao thức truy cập hệ thống mạng Loại tường lửa này chia sẻ đặc tính của cổng vòng, nhưng nghiên cứu sâu hơn vào các       

thông tin gửi qua tường lửa và xem xét mối liên quan tới ứng dụng, dịch vụ và trang web cụ       

thể Ví dụ, một cổng ứng dụng có thể “nhìn” vào gói tin truyền tải lưu lượng web và xác định       

lưu lượng truy cập web xuất phát từ đâu Tường lửa sau đó sẽ chặn dữ liệu từ trang web nếu        người quản trị mong muốn

Application gateway Các gateway mức ứng dụng, còn được gọi là các proxy, tương tự như các gateway mức mạng ngoại trừ việc chỉ định các ứng dụng. Chúng có thể lọc gói ở lớp ứng dụng của mô hình OSI. Các gói vào hoặc ra không thể truy cập các dịch vụ mà không có proxy. Một gateway mức ứng dụng được cấu hình như một web proxy sẽ không cho bất kỳ ftp, gopher, telnet hoặc lưu lượng khác xuyên qua. Bởi vì chúng kiểm tra các gói ở lớp ứng dụng, chúng

có thể lọc các dòng lệnh chỉ định ứng dụng như http:post và get, etc. Điều này không thể được thực hiện với firewall lọc gói và firewall mức mạch, cả hai điều không biết gì về

thông tin lớp ứng dụng. Các gateway mức ứng dụng còn có thể được sử dụng để ghi lại các hoạt động và các login của user. Chúng đề ra cấp độ bảo mật cao, và có sự tác động mạnh về performance của mạng. Bởi vì sự thay đổi ngữ cảnh mà làm chậm mạng truy cập một cách đột ngột. Chúng không dễ thực hiện (transparent) ở đầu cuối người dùng và yêu cầu sự cấu

Cổng ứng dụng được coi là bastion host vì thiết kế để chống tấn công từ bên ngoài. Biện pháp an ninh của Bastion host:

­ Chạy trên version an toàn của các phần mềm hệ điều hành với mục đích chống tấn công vào hệ điều hành

­ Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion host, chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên Bastion host

­ Bastion host có thể yêu cầu nhiều mức độ khác nhau ví dụ như username và password hay smart card

Mỗi proxy được cài đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của dữ liệu mạng đi qua tương đương với bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống

Mỗi proxy đều độc lập với các proxy khác trên Bastion host, cho phép dễ dàng cài đặt một proxy mới hay tháo gỡ một proxy

Ưu điểm:

● Cho phép người quản trị hoàn toàn điều khiển được từng dịch vụ trên mạng

● Cho phép kiểm tra độ xác, nhậy ký ghi chép lại thông tin về truy cập hệ thống

● Rule lọc cho cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói Nhược điểm:

● Cần phải có sự cấu hình trên máy user để user truy cập vào các dịch vụ proxy. Ví dụ telnel

5. Thiết lập

*Các giải pháp thiết lập:

● Single Firewall

Firewall cấu hình không chỉ bảo vệ mạng riêng từ internet mà còn cho phép người dùng trong mạng riêng truy cập ra ngoài

Chỉ có 1 firewall và 1 kết nối tới internet nên chỉ có một điểm điều khiển và quản lý trong thiết kế này. Khi tổ chức muốn cung cấp các dịch vụ cho khách hàng sử dụng:Web, FTP, Mail Server

Sẽ có 2 lựa chọn trong trường hợp này:

○ Đặt các server công khai sau firewall sau đó mở kết nối với mạng bên ngoài để có thể truy cập vào các server này từ mạng ngoài (dual­homed gateway firewall, firewall có 2 card mạng một cho mạng tin cậy và 1 cho cho các mạng khác không tin cậy)

○ Đặt các server công khai bên ngoài phạm vi của firewall, trong trường hợp này các server sẽ mở chó

Hacker tấn công vào các dịch vụ mức cao có thể chiếm quyền truy cập vào mạng riêng

● Demilitarized Zone(DMZ)

Firewall đầu tiên sẽ được đặt giữa kết nối internet và các server công khai của tổ chức cung cấp cơ chế bảo mật cho các server công khai so với internet

Firewall thứ 2 sẽ đặt giữa các server công khai và mạng riêng  bảo đảm cho mạng riêng rất là an toàn vì nó không kết nối trực tiếp với một kết nối bên ngoài và các thiết lập che dấu được bên ngoài

Phương pháp này được xem là một trong những phuơng pháp an toàn nhất cho mạng của

tổ chức

Firewall đầu chứa 3 card mạng, 1 kết nối với mạng bên ngoài, 1 với mạng riêng và một với mạng của các server công khai với 3 chiến lược bảo mật khác nhau, một chiến lược có thể được tùy chọn hóa để cho ngăn chặn các kết nối vào mạng riêng nhưng có thể đi qua mạng server chung

● Screened host firewall

Screening router: Phân tích dữ liệu của gói tin muốn đi vào bên trong mạng riêng dựa trên các luât được thiết lập trên router

Bastion host: Là một server cài đặt các dịch vụ có thể truy cập từ internet: Web, Email, DNS

● Screened subnet firewall

Có 2 firewall và bastion host

1 bastion host và một vài máy tinh khác tạo thành một subnet (mạng con)

Subnet được đặt giữa 2 screening router

Các vấn đề cần lưu ý khi chọn lựa một giải pháp Firewall

● Xác định các điểm yếu của mạng

● Các tài nguyên mạng: network, server, workstation